課堂數據恢復實戰
對扇區的定位有兩種方法:其一是C/H/S;其二是LBA,即扇區的編號。操作系統一般用LBA來計算,更適合計算機的使用。
C/H/S 相對比較直觀,但是計算複雜或者說有的時候用C/H/S表示不出來,這時必須採用LBA,它的特點是計算簡單,但是相對不直觀,下面對這兩種對分區的定位進行分析一下。
首先,一個轉化關係必須清晰:
1柱面=255個盤片=255個磁道
1扇區=512字節
1磁道=63個扇區
利用C/H/S計算,磁頭從0到254磁頭,扇區從1到63扇區;但是利用LBA計算的話,扇區從0開始計算,這是需要注意的地方。
另一種方法:軟件掃描:打開深山紅葉,單擊ms-dos工具箱dos 7.10.
誤刪除分區實際上只是修改了扇區的MBR,對數據影響不大。只要分區的起始扇區和結束扇區確定後,分區表即可確定,一般情況下,硬盤的第一個扇區都是從63扇區開始,如果用C/H/S表示即從0磁頭,1扇區,1柱面開始,結束於254磁頭,63扇區。
我用分區表數據分析工具winhex,打開winhex,轉到第一個分區的起始扇區,帶擴展分區和邏輯分區的磁盤結構如下:每個分區的起始都有一個63扇區,且第一個擴展分區和第二個擴展分區的表示如下。
轉到第一個分區的起始扇區,在28H位置記錄的分區的大小,根據分區起始扇區+分區大小-1就可以得到分區的結束扇區。
我認爲定義分區爲L,M,N.
先看L分區,
起始63扇區,結束扇區=63+1388AFC-1,注意:如果是NTFS分區,那麼在28H位置記錄的大小要比實際大小少一。所以實際大小是1388AFC,並且是按照分區表倒過來讀的。
L:C/H/S: 0/1/1—1274/254/63 LBA: 63---20482874
擴展1:1275/0/1—2609/254/63 20482875—41929649
於是手寫分區表爲:
00 01 01 00 07 FE FF FA
3F 00 00 00 FC 8A 38 01
這是L分區的分區表。
起始63扇區,結束扇區=63+1388AFC-1,注意:如果是NTFS分區,那麼在28H位置記錄的大小要比實際大小少一。所以實際大小是1388AFC,並且是按照分區表倒過來讀的。
L:C/H/S: 0/1/1—1274/254/63 LBA: 63---20482874
擴展1:1275/0/1—2609/254/63 20482875—41929649
於是手寫分區表爲:
00 01 01 00 07 FE FF FA
3F 00 00 00 FC 8A 38 01
這是L分區的分區表。
轉到扇區。
分析M分區。
C/H/S:1275/1/1—2039/254/63 LBA:20482938—32772599
擴展2.32772600—41929649
M的分區表爲:
00 01 C1 FF 07 FE FF FF
7A 8B 38 01 7D 86 BB 00
分析N分區:
C/H/S:2040/1/1—2609/254/63 LBA:32772663-41929649
分區表:
00 01 C1 FF 07 FE FF FF
37 12 F4 01 7A B9 8B 00
手寫分區表後,恢復數據爲“易我”,三個分區都正常。
下面是軟件掃描的方式。選擇第二項。
選擇一塊硬盤。
輸入diskgen。
進入磁盤分析界面。選擇我們要恢復的硬盤,然後點擊工具---重建分區表,出現如下界面,點擊繼續。
這裏選擇交互方式
這裏找到一個10G的分區,很可能是我們要找的,選擇保留。
這裏找到一個0M的分區,顯然不是要恢復的內容,因爲我們的分區中有內容的。選擇跳過。
接下來又找到一個6G的分區,我選擇保留。
最後又找到一個4G的分區,選擇保留。
最後提示分區表重建完畢,點擊確定。
提示是否更新分區表,點是。
最後存盤。重新啓動。
重新啓動後,還需要爲剛掃描的分區指定盤符。假如是L.M.N三個分區。
打開相應的盤符,找到裏面的數據是“易我”數據恢復工具。
實戰到此結束。